Nos mots de passe ne sont pas sûr, la faute à qui ?

Une petite réflexion personnelle sur le sujet.

inforisque.fr a été interviewé dans le cadre d’un reportage sur les mots de passe diffusé dans l’émission 100% MAG sur M6.

Il a notamment été question de la fiche pratique « Vérifier la complexité de votre mot de passe », et de la meilleure méthode pour définir un mot de passe efficace.

Le maillon faible : nous même

Il faut savoir, qu’en moyenne, nous possédons 25 comptes sur internet et nous n’utilisons que 6 mots de passes différents… Il est donc urgent que chacun prenne conscience des enjeux.

Et vous avez certainement en tête une histoire à propos de documents secrets qui ont été égarés dans la nature, sans protection ; par exemple celle-ci ou celle-là, ou des fuites organisées, comme celles de Mark Snowden.

Il ne faut jamais faire :

  • Laisser le mot de passe par défaut
  • Utiliser un mot du dictionnaire (dans le reportage ils ont utilisé « constitution », trouvé en 2 secondes, idem via inforisque.fr)
  • Ouvrir une pièce jointe d’un email dont vous n’êtes pas certain de l’expéditeur : risque d’être infecté par un virus
  • Noter vos mots de passe sur un petit papier rangé dans le tiroir
  • Laisser vos sessions internet sécurisées ouvertes

Les risques

Pourquoi ne faut-il pas laisser vos sessions internet sécurisées ouvertes ? Voici un exemple concret : si vous laissez votre connexion Gmail ouverte, il est simple d’aller sur votre réseau social ou votre site de e-commerce préféré, de suivre la procédure « mot de passe perdu », saisir votre adresse email et attendre le message donnant le nouveau mot de passe. Imaginez ensuite ce que l’on peut faire avec ce type de renseignements ; surtout si vous avez enregistré les caractéristiques de votre carte de paiement dans le site… ça ne vous fait pas peur ?

Un autre point important qui me semble une aberration en terme de sécurité : les sites qui stockent les mots de passe sans les crypter (ou les hacher). Dernièrement, je me suis penché sur l’étude de la structure d’un blog hébergé sous Viadeo, et là j’ai pu exporter la totalité des comptes des membres utilisateurs avec leur identifiants, leur nom, leur email, et le mot de passe en clair… Maintenant allons dans la fiction réaliste : avec toutes ces données, je peux aller au hasard de mes envies et, par exemple, aller sur Gmail, Facebook, Twitter… saisir leur adresse mail ou leur nom dans la partie identifiant, et saisir le mot de passe auquel j’ai eu accès. Il y a fort à parier que je rencontrerai un certain succès. Amusez-vous à tester la procédure de mot de passe perdu, vous saurez ainsi si votre mot de passe vous est redonné, ou si on vous en attribue un nouveau.

Et d’une manière générale, NE DONNEZ JAMAIS VOTRE MOT DE PASSE, ni en ligne, ni à quelqu’un.

Des solutions ?

L’ANSSI rappelle sur son site qu’un mot de passe doit donc comporter au moins 10 caractères, et être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories). Le nombre de caractères augmentant dans le temps avec la puissance de calcul des ordinateurs.

Pour une utilisation courante

Dans le cas d’une utilisation classique, voici le meilleur conseil (que vous retrouverez dans la fiche pratique) : utiliser une phrase et en utiliser une partie ou entière en fonction du niveau de risque ou de confidentialité que vous souhaitez.

Les cas particuliers

Dans le cas de données sensibles, il est fortement conseillé de passer à un niveau supérieur, en cryptant les données et en utilisant des logiciels spécialisés pour multiplier les sécurités.

Une solution consiste à utiliser des gestionnaires de mots de passe, voir ici.

Les fausses sécurités

Obliger à modifier régulièrement son mot de passe peut sembler une bonne solution, mais c’est sans compter sur le facteur humain… C’est une très bonne solution si elle est volontaire, mais rendre cette modification obligatoire peut être contreproductif, voir cet article.

Comme vous avez pu le lire dernièrement, les systèmes à empreinte digitale ne sont pas spécialement fiables ; pensez-y également si vous choisissez cette solution pour sécuriser votre porte d’entrée. Le dernier né de la marque à la pomme est équipé d’un lecteur d’empreinte digitale… qui a été cracké en moins d’une semaine. Perdez donc vos illusions de sécurité.

Pour information, il existe différents lecteurs d’empreintes biométriques. Vous avez des lecteurs qui analysent l’épiderme (les sillons des doigts), et vous avez aussi des lecteurs qui analysent le derme (plus en profondeur). Cette dernière méthode apporte une fiabilité supplémentaire : on ne peut pas leurrer le capteur avec un bout de plastique.

Les embuches

Le problème est que bon nombre de site sur lesquels nous nous connectons nous obligent à saisir un mot de passe qui respecte un certain format.

Il n’est pas rare d’être limité en nombre de caractères ; une ineptie. Le choix des caractères n’est pas non plus libre dans tous les cas. Ces deux limites ne permettent donc pas toujours de choisir son mot de passe. Il y a également les cas où le mot de passe vous est imposé...

LA solution

Il faut un mot de passe temporaire (quelques minutes).

Pour cela, comme il est indiqué dans le reportage, il peut vous être expédié sur demande vers votre smartphone, à vous de le reporter dans la bonne case.

Egalement possible, le Digipass, sorte de petite calculatrice qui vous délivre un code confidentiel qui change à chaque utilisation.

 

Voilà, je vous laisse maintenant avec quelques éléments de réflexion pour mieux sécuriser vos données, et peut être modifier vos habitudes…

Pour en savoir plus sur la sécurité des mots de passe :

Réactions...

Papilo le :

Pourquoi n'a-t-on pas le droit d'utiliser les mots français ? Exemple : àNoël6garçonsdans2canoësexigüs
Réagissez en laissant votre commentaire !

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !